大三下分析课件.pptx

系统进程与隐藏技术伍淳华北京邮电大学计算机学院

恶意进程的追踪与清除?进程:一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源,是一个活动实体,是操作系统资源分配的单位;

恶意进程的追踪与清除?查看进程的发起程序关闭危险进程只能治标不治本,需要查清楚发起进程的程序是什么,才能彻底地解决问题。用netstat命令：

恶意进程的追踪与清除?查看进程的发起程序netstat-abnov

恶意进程的追踪与清除?查看、关闭和重建进程

恶意进程的追踪与清除?查看隐藏进程和远程进程进程执法官国产的进程管理分析软件，强悍的手工杀毒与系统监视软件，辅助用户告别病毒、木马、远程控制。

恶意进程的追踪与清除?查看隐藏进程和远程进程进程执法官国产的进程管理分析软件，强悍的手工杀毒与系统监视软件，辅助用户告别病毒、木马、远程控制。

恶意进程的追踪与清除?查看隐藏进程和远程进程IceSword(冰刃)国外的一款免费进程管理分析软件，功能强大。

恶意进程的追踪与清除?查看隐藏进程和远程进程IceSword(冰刃)查看进程，其中隐藏进程以红色标识

恶意进程的追踪与清除?查看隐藏进程和远程进程IceSword(冰刃)查看端口，它的前四项与netstat-an类似，后两项是打开该端口的进程。

恶意进程的追踪与清除?查看隐藏进程和远程进程IceSword(冰刃)注册表，与Regedit用法类似，注意它有权限打开与修改任何子键，使用时要小心，不要误修改(比如SAM子键)。

恶意进程的追踪与清除?远程进程查看tasklist/sip/uuser/ppassword

恶意进程的追踪与清除?查杀进程一般可用任务管理器查杀，但有一些恐怕不能杀掉。ntsdntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。只有System、SMSS.EXE和CSRSS.EXE不能杀。

恶意进程的追踪与清除?查杀进程一般可用任务管理器查杀，但有一些恐怕不能杀掉。ntsd杀进程ntsd-cq-ppidntsd-cq-pn进程名

恶意进程的追踪与清除?查杀进程一般可用任务管理器查杀，但有一些恐怕不能杀掉。taskkill任务管理器的命令行形式taskkill–pidpidtaskkill–imimagename

文件传输与文件隐藏?打包软件rarx300

文件传输与文件隐藏?文件隐藏简单隐藏“attrib”命令可以给文件添加”隐藏”和”系统”属性.

文件传输与文件隐藏?文件隐藏简单隐藏“attrib”命令可以给文件添加”隐藏”和”系统”属性.attrib+h+s文件名

文件传输与文件隐藏?文件隐藏利用专门文件夹隐藏文件:如任务计划、回收站等例：以任务计划文件夹来隐藏文件aaa.txt

文件传输与文件隐藏?

入侵隐藏技术?代理服务器代理服务器可以隐藏用户的身份，InternetWEBProxyServerclientAclientBCache

入侵隐藏技术?代理服务器代理服务器可以隐藏用户的身份，InternetWEBProxyServerclientAclientBCache

入侵隐藏技术跳板技术跳板可称之为“入侵代理”或“入侵型肉鸡”。它用来代替入侵者对远程主机建立网络连接或者漏洞溢出，这种间接的连接方式可以避免入侵者与远程主机的直接接触，从而实现了入侵中的隐藏。

入侵隐藏技术手工制作跳板利用opentelnet软件。OpenTelnet.exe\\server帐号密码NTLM认证方式Telnet端口

入侵隐藏技术

ThankYou!